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Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur 
Durchfuhrung des Verfahrens 



Beschreibung 

Die Erfindung betrifft ein Verfahren zum Schutz eines Sicherheitsmoduls, 
gemali der im Oberbegriff des Anspruchs 1 angegebenen Art, und eine 
Anordnung zur Durchfuhrung des Verfahrens, gemali der im Oberbegriff 
des Anspruchs 3 angegebenen Art. Ein solcher postalischer 
Sicherheitsmodul ist insbesondere fur den Einsatz in einer 
Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit 
Postbearbeitungsfunktion geeignet. 

Moderne Frankiermaschinen, wie die aus der US 4.746.234 bekannte 
Thermotransfer-Frankiermaschine, setzen eine vollelektronische digitate 
Druckvorrichtung ein. Damit ist es prinzipiell moglich, beliebige Texte und 
Sonderzeichen im Frankierstempeldruckbereich und ein beliebiges oder 
ein einer Kostenstelle zugeordnetes Werbeklischee zu drucken. So hat 
zum Beispiel die Frankiermaschine T1000 der Anmelderin einen Mikro- 
prozessor, welcher von einem gesicherten Gehause umgeben ist, das 
eine Offnung fur die Zufuhrung eines Briefes aufweist. Bei einer Brief- 
zufuhrung ubermittelt ein mechanischer Briefsensor (Mikroschalter) ein 
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Druckanforderungssignal an den Mikroprozessor. Der Frankierabdruck 
beinhaltet eine zuvor eingegebene und gespeicherte postalische Informa- 
tion zur Beforderung des Briefes. Die Steuereinheit der Frankiermaschine 
nimmt eine Abrechnung softwaremaBig vor, ubt eine Uberwachungs- 
funktion ggf. bezOglich der Bedingungen fur eine Datenaktualisierung aus 
und steuert das Nachladen eines Portwertguthabens. 

Fur die oben genannte Thermotransfer-Frankiermaschine wurde bereits in 
US 5,606,508 (DE 42 13 278 B1) und in US 5,490,077 eine Daten- 
eingabemoglichkeit mittels Chipkarten vorgeschlagen. Eine der 
Chipkarten ladt neue Daten in die Frankiermaschine und ein Satz an 
weiteren Chipkarten gestattet durch das Stecken einer Chipkarte eine 
Einstellung entsprechend eingespeicherter Daten vorzunehmen. Das 
Datenladen und die Einstellung der Frankiermaschine kann damit 
bequemer und schneller als per Tastatureingabe erfolgen. Eine 
Frankiermaschine zum Frankieren von Postgut, ist mit einem Drucker zum 
Drucken des Postwertstempels auf das Postgut, mit einer Steuerung zum 
Steuern des Druckens und der peripheren Komponenten der 
Frankiermaschine, mit einer Abrecheneinheit zum Abrechnen von- 
Postgebuhren, mit mindestens einem nichtfluchtigen Speicher zum 
Speichern von Postgebuhrendaten, mit mindestens einem nichtfluchtigen 
Speicher zum Speichern von sicherheitsrelevanten Daten und mit einer 
Kalender/Uhr ausgestattet. Der nichtfluchtige Speicher der sicherheits- 
relevanten Daten und/oder die Kalender/Uhr wird gewdhnlich von einer 
Batterie gespeist. Bei bekannten Frankiermaschinen werden sicherheits- 
relevante Daten (kryptografische Schlussel u.a.) in nichtfluchtigen 
Speichern gesichert. Diese Speicher sind EEPROM, FRAM oder 
batteriegesicherte SRAM. Bekannte Frankiermaschinen verfugen oft auch 
uber eine interne Echtzeituhr (Real Time Clock) RTC, die von einer 
Batterie gespeist wird. Bekannt sind z.B. vergossene Module, die 
integrierte Schaltkreise und eine Lithium-Batterie enthalten. Diese Module 
mussen nach Ablauf der Lebensdauer der Batterie im Ganzen 
ausgetauscht und entsorgt werden. Aus wirtschaftlichen und okologischen 
Gesichtspunkten ist es gunstiger, wenn nur die Batterie ausgetauscht 
werden mulS. Dazu muli jedoch das Sicherheitsgehause geoffnet und 
anschlieSend wieder verschlossen und gesiegelt werden, denn die 
Sicherheit gegenuber Betrugsversuchen beruht im Wesentlichen auf dem 
gesicherten Gehause, welches die gesamte Maschine umschlielit. 
Seitens der Anmelderin wurde in EP 660 269 A2 (US 5,671,146) bereits 
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ein geeignetes Verfahren zur Verbesserung der Sicherheit von 
Frankiermaschinen vorgeschlagen, in welchem zwischen einem 
authorisierten und unauthorisierten Offnen des Sicherheitsgehauses 
unterschieden wird. 

Eine eventuell erforderliche Reparatur einer Frankiermaschine ist dann 
vor Ort nur schwer moglich, wenn der Zugang zu den Bauteilen erschwert 
Oder eingeschrankt ist. Bei groGeren Postverarbeitungsmaschinen oder 
sogenannten PC-Frankierern wird zukunftig das gesicherte Gehause auf 
das sogenannte postalische Sicherheitsmodul reduziert werden, was die 
Zuganglichkeit zu den ubrigen Bauteilen verbessern kann.Zum wirtschaft- 
lichen Austauschen der Batterie des Sicherheitsmoduls ware es auGer- 
^ dem wunschenswert, daB sich diese auf relativ einfachem Wege aus- 

K^A wechseln laBt. Dazu muG sich die Batterie auGerhalb des Sicherheits- 

15 bereichs der Frankiermaschine befinden. Wenn die Batterieklemmen aber 
von auGen zuganglich gemacht werden, ist ein moglicher Angreifer in der 
Lage, die Batteriespannung zu manipulieren. Bekannte batteriegespeiste 
SRAM und RTC haben bzgl. ihrer geforderten Betriebsspannung unter- 
schiedliche Anforderungen. Die notwendige Spannung zum Halten vori 
Daten von SRAM liegt unterhalb der geforderten Spannung zum Betrieb 
von RTC. DaG bedeutet. daG ein Verringern der Spannung unter einen 
bestimmten Grenzwert zu einem unerwiinschten Verhalten der Kompo- 
nenten fuhrt: Die RTC bleibt stehen, die Uhrzeit - gespeichert in SRAM- 
Zellen - und die Speicherinhalte des SRAM bleiben erhalten. Wenigstens 
eine der SicherheitsmaGnahmen, beispielsweise Long Time Watchdogs, 
waren dann auf der Frankiermaschinenseite unwirksam. Unter Long Time 
Watchdogs wird folgendes verstanden: Die entfernte Datenzentrale gibt 
einen Zeitkredit bzw. eine Zeitdauer, insbesondere eine Anzahl von 
Tagen, oder einen bestimmten Tag vor, bis zu welchem sich die Frankier- 
einrichtung per Kommunikationsverbindung melden kann. Nach erfolg- 
losen Ablauf des Zeitkredits oder der Frist wird das Frankieren verhindert. 
Unter dem Titel: Verfahren und Anordnung zur Erzeugung und Clber- 
prufung eines Sicherheitsabdruckes wurde bereits in der EP 660 270 A2 
(US 5,680,463) ein Verfahren vorgeschlagen, die voraussichtliche Zeit- 
dauer bis zur nachsten Guthabennachladung zu ermitteln, wobei seitens 
einer Datenzentrale diejenige Frankiermaschine als suspekt gilt, welche 
sich nicht fristgemaG meldet. Suspekte Frankiermaschinen werden der 
Postbehorde mitgeteilt, welche den Poststrom nach von suspekten Fran- 
kiermaschinen frankierten Briefen uberwacht. Ein Ablauf des Zeitkredits 



Oder der Frist wird bereits auch von der Frankiereinrichtung ermittelt und 
der Benutzer wird aufgefordert die uberfallige Kommunikation 
durchzufuhren. 

Sicherheitsmodule sind von elektronischen Datenverarbeitungsanlagen 
her bereits bekannt. Zum Schutz vor Einbruch in eine elektronische 
Anlage wird in EP 417 447 B1 bereits eine Sperre vorgeschlagen, welche 
Stromversorgungsmittel- und Signalerfassungsmittel sowie Abschirmmittel 
im Gehause umfa&t. Das Abschirmmittel besteht aus Einkapselungs- 
material und Leitungsmitteln, an welchen die Stromversorgungs- und 
Signalerfassungsmittel angeschlossen sind. Letzteres reagiert auf eine 
Veranderung des Leitungswiderstandes des Leitungsmittels. AuBerdem 
enthalt das Sicherheitsmodul eine interne Batterie, einen Spannungs- 
umschalter von Systemspannung auf Batteriespannung, ein Power Gate 
und einen KurzschluBtransistor sowie weitere Sensoren. Wenn die 
Spannung eine bestimmte Grenze unterschreitet, reagiert das Power 
Gate. Wenn der Leitungswiderstand, die Temperatur Oder die Strahlung 
verandert ist, reagiert die Logik. Mittels des Power Gate Oder mittels der 
Logik wird der Ausgang des KurzschluBtransistor auf L-Pegel umge- 
schaltet, wodurch ein im Speicher gespeicherter kryptographischer 
Schlussel geloscht wird. Jedoch ist die Lebensdauer der nicht aus- 
wechselbaren Batterie und damit des Sicherheitsmoduls fur den Einsatz 
in Frankiereinrichtungen bzw. Postverarbeitungsmaschinen zu klein. 

Eine groBere Postverarbeitungsmaschine ist beispielsweise die JetMail®. 
Ein Frankierdruck wird hier mittels einem stationar angeordneten 
Tintenstrahldruckkopf bei einem nichtwaagerechten annahernd vertikalen 
Brieftransport erzeugt; Eine geeignete Ausfuhrung fur eine 
Druckvorrichtung wurde bereits in der DE 196 05 015 C1 vorgeschlagen. 
Die Postverarbeitungsmaschine hat ein Meter und eine Base. Soil das 
Meter mit einem Gehause ausgestattet werden, so daS Bauteile leichter 
zuganglich sind, dann muS es durch ein postalisches Sicherheitsmodul 
vor Betrugsversuchen geschutzt werden, welches mindestens das Ab- 
rechnen der Postgebuhren durchfuhrt. Urn Einflusse auf den Programm- 
verlauf auszuschlieSen, wurde bereits in der EP 789 333 A2 unter dem 
Titel: Frankiermaschine vorgeschlagen, ein Sicherheitsmodul mit einer 
Anwenderschaltung (Application Specific Integrated Circuit) ASIC auszu- 
statten, die eine Hardware-Abrecheneinheit aufweist. Die Anwender- 
schaltung steuert auRerdem die Druckdatenubertragung zum Druckkopf. 
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L tzt res ware nur dann nicht erforderlich, wenn fur jedes Poststuck 
inzigartige Abdrucke rzeugt w rden. Ein ge ignetes Verfahren und 
Anordnung zur Erzeugung und Uberprufung ein s Sicherheitsabdruckes 
ist beispielsweise in den US 5,680,463, US 5,712,916 und US 5,734,723 
5 vorgeschlagen worden. Dabei wird eine spezielle Sicherheitsmarkieaing 
elektronisch generiert und in das Druckbild eingebettet. 

Weitere MaBnahmen zum Schutz eines Sicherheitsmodul vor einem 
Angriff auf die in ihm gespeicherten Daten wurden auch in den nicht 
vorveroffentlichten deutschen Anmeldungen 198 16 572.2 und 198 16 
571.4 vorgeschlagen. Bei einer Vielzahl von Sensoren steigt der 
Stromverbrauch und ein nicht standig von einer Systemspannung 
versorgter Sicherheitsmodul zieht dann den fur die Sensoren benotigten 
Strom aus seiner internen Batterie, was letztere ebenfalls fruhzeitig er- 
schopft. Die Kapazitat der Batterie und der Stromverbrauch beschranken 
somit die Lebensdauer eines Sicherheitsmoduls. 

Frankiermaschinen sind wie viele andere Produkte ebenfalls modular 
aufgebaut Diese Modularitat ermoglicht den Austausch von Modulen und 
Komponenten aus verschiedenen Grunden. So konnen z.B. defekte 
Module ausgetauscht und durch uberprufte, reparierte Oder neue Module 
ersetzt werden. Da eine hochste Sorgsamkeit beim Austausch von 
Baugruppen erforderlich ist, die sicherheitsrelevante Daten enthalten, 
erfordert der Austausch in der Regel den Einsatz eines Service 
Technikers und MaBnahmen, die bei unsachgemaBem Gebrauch bzw. 
unauthorisierten Austausch eines Sicherheitsmoduls dessen Funktions- 
weise unterbinden. Letzteres ist aber sehr aufwendig. 

Der Erfindung liegt die Aufgabe zugrunde, mit geringem Aufwand den 
30 Schutz vor einem unbefugt manipulierten Sicherheitsmodul zu gewahr- 
leisten, wenn das Sicherheitsmodul austauschbar angeordnet ist. Der 
Austausch soil von jederman auf moglichst einfache Weise moglich sein. 

Die Aufgabe wird mit den Merkmalen des Verfahrens nach Anspruch 1 
35 und mit den Merkmalen der Anordnung nach Anspruch 3 gelost. 

Die Erfindung geht davon aus, mittels Funktionseinheiten den Austausch 
und Gebrauch ines Sicherheitsmoduls einer Frankiermaschine, 
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Postverarbeitungseinrichtung oder ahnlichen Gerates festzustellen, urn 
den Benutzern der verschiedenen Gerat eine Gewahrleistung uber die 
korr kte Funktionsweise des Sicherheitsmoduls und damit des gesamten 
Gerates bieten zu konnen. Ein Austausch eines Sicherheitsmoduls wird 
5 mindestens detektiert und ggf. nachtraglich als Zustand signalisiert, wenn 
der Sicherheitsmodul wieder gesteckt ist und mit einer Systemspannung 
versorgt wird. Die Veranderungen des Zustandes des Sicherheitsmoduls 
werden mittels einer ersten Funktionseinheit und mittels einer von einer 
Batterie versorgten Detektionseinheit erfaBt, welche eine rucksetzbare 
10 Selbsthaltung aufweist. Die erste Funktionseinheit kann den jeweiligen 
Zustand auswerten, wenn sie wieder mit Systemspannung versorgt wird. 
Die Vorteile liegen in einer schnellen Reaktion auf Veranderungen des 
Zustandes des Sicherheitsmoduls und in einem geringem Batteriestrom- 
verbrauch der Schaltung der Detektionseinheit wahrend der 
; is Nichtversorgung des Sicherheitsmoduls mit der Systemspannung. 

Es ist mindestens vom unsachgemaSem Gebrauch eines Sicherheits- 
moduls bei jedem Austausch auszugehen, bei welchen nicht nur die 
Systemspannung fehlt, sondern auch die austauschbar angeordnete. 

20 Batterie entfernt wird. Damit der Austausch von moglichst gering 
qualifiziertem Personal und in Zukunft gar durch den Benutzer ausgefuhrt 
werden kann, ubernimmt eine weitere Funktionseinheit die Uberwachung 
auf Spannungsausfall beim Austausch der Batterie, wobei die erste 
Funktionseinheit zunachst sensitive Daten loscht und damit den weiteren 

25 Gebrauch des Sicherheitsmoduls einschrankt oder gar unterbindet. Die 
/ erste Funktionseinheit erzwingt bei einer spateren Wiederinbetriebnahme 

'^'•^i eine Kontaktaufnahme des Sicherheitsmoduls mit einer entfernten 

Datenzentrale zum Freischalten mindestens einer Funktionseinheit. Falls 
der Sicherheitsmodul sachgemaB ausgetauscht wurde, werden bei der 

30 Wiederinbetriebnahme die sensitiven Daten reinitialisiert. Zur Kontaktauf- 
nahme sind Verfahren mit einer digitalen oder analogen Ubertragungs- 
strecke einsetzbar. Das Verfahren zum Schutz eines Sicherheitsmoduls 
beinhaltet die folgenden Schritte: 

• Uberwachung des sachgema&en Gebrauchs oder Austausches des 
35 Sicherheitsmoduls mittels einer ersten, zweiten und dritten 

Funktionseinheit, 

• Loschen von sensitiven Daten aufgrund eines unsachgemaden 
Gebrauchs oder Austausches mindestens mittels der zweiten 
Funktionseinheit, 
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• Sperren der Funktionalitat mittels der dritten Funktionseinheit wahrend 
eines Austausches des Sicherheitsmoduls, 

• Reinitialisieren mittels der erst n Funktionseinheit von zuvor 
geloschten sensitiven Daten nach sachgemaBem Gebrauch oder 

5 Austausch des Sicherheitsmoduls, 

• Wiederinbetriebnahme durch Freischalten der Funktionseinheiten des 
Sicherheitsmodules. 

Es ist vorgesehen, daB das Reinitialisieren in Verbindung mit einer Kom- 
munikation mittels einer entfernten Datenzentrale von der ersten Funk- 
tionseinheit vorgenommen wird, nachdem eine dynamische Gestecktsein- 
Detektion erfolgreich durchgefuhrt wurde, wobei wahrend der Detektion 
von der ersten Funktionseinheit uber eine Stromschleife der Interface- 
einheit Informationen ausgetauscht werden, deren fehlerfreie Ubermitt- 
lung den Beweis fur den sachgemaBen Einbau des Sicherheitsmodules 
erbringt. Das Freischalten von Funktionseinheiten des Sicherheitsmodu- 
les erfolgt durch deren Rucksetzen. Die erste Funktionseinheit ist ein mit 
den anderen Funktionseinheiten verbundener Prozessor, welcher pro- 
grammiert ist, den jeweiligen Zustand festzustellen. Die zweite Funktions- 
einheit ist eine Spannungsuberwachungseinheit mit rucksetzbarer 
Selbsthaltung und die dritte Funktionseinheit ist eine Ungestecktsein- 
Detektionsschaltung mit rucksetzbarer Selbsthaltung. 

Vorteilhafte Weiterbildungen der Erfindung sind in den Unteranspruchen 
gekennzeichnet bzw. werden nachstehend zusammen mit der 
Beschreibung der bevorzugten Ausfuhrung der Erfindung anhand der 
Figuren naher dargestellt. Es zeigen: 

Figur 1, Blockbild und Interface des Sicherheitsmoduls, 

30 

Figur 2, Blockschaltbild der Frankiermaschine, 
Figur 3, Perspektivische Ansicht der Frankiermaschine von hinten, 
35 Figur 4, Blockschaltbild des Sicherheitsmoduls (zweite Variante), 
Figur 5, Schaltbild der Detektionseinheit, 
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Figur 6, Seitenansicht des Sicherheitsmoduls, 
Figur 7, Draufsicht auf das Sicherheitsmodul, 
Figur 8a, Ansicht des Sicherheitsmoduls von rechts, 
Figur 8b, Ansicht des Sicherheitsmoduls von links. 

In der Figur 1 ist ein Blockbild des Sicherheitsmoduls 100 mit den 
Kontaktgruppen 101, 102 zum AnschluB an ein Interface 8 sowie mit den 
Batteriekontaktklemmen 103 und 104 eines Batterieinterfaces fur eine 
Batterie 134 dargestellt. Obwohl das Sicherheitsmodul 100 mit einer 
harten VergufJmasse vergossen ist, ist die Batterie 134 des 
Sicherheitsmoduls 100 auflerhalb der Vergufcmasse auf einer Leiterplatte 
auswechselbar angeordnet. Die Leiterplatte tragt die Batteriekontakt- 
klemmen 103 und 104 fur den AnschlufJ der Pole der Batterie 134. Mittels 
der Kontaktgruppen 101, 102 wird das Sicherheitsmodul 100 an ein 
entsprechendes Interface 8 der Hauptplatine (Motherboard) 9 gesteckt. 
Die erste Kontaktgruppe 101 steht mit dem Systembus einer Steuer- 
einrichtung in Kommunikationsverbindung und die zweite Kontaktgruppe 
102 dient der Versorgung des Sicherheitsmoduls 100 mit der System- 
spannung. Uber die Pins P3 t P5-P19 der Kontaktgruppe 101 laufen AdreS- 
und Datenleitungen 117, 118 sowie Steuerleitungen 115. Die erste 
und/oder zweite Kontaktgruppe 101 und/oder 102 sind/ist zur statischen 
und dynamischen Uberwachung des Angestecktseins des Sicherheits- 
moduls 100 ausgebildet. Uber die Pins P23 und P25 der Kontaktgruppe 
102 wird die Versorgung des Sicherheitsmodul 100 mit der System- 
spannung der Hauptplatine 9 realisiert und uber die Pins P1, P2 bzw. P4 
wird eine dynamische und statische Ungestecktsein-Detektion durch das 
Sicherheitsmodul 100 realisiert. 

Das Sicherheitsmodul 100 weist in an sich bekannter Weise einen 
Mikroprozessor 120 auf, der einen - nicht gezeigten - integrierten 
Festwertspeicher (internal ROM) mit dem speziellen Anwendungs- 
programm enthalt, was fur die Frankiermaschine von der Postbehorde 
bzw. vom jeweiligen Postbeforderer zugelassen ist. Alternativ kann an 
den internen Datenbus 126 ein ublicher Festwertspeicher ROM Oder 
FLASH-Speicher angeschlossen werden. 



Das Sicherheitsmodul 100 weist in an sich bekannter Weise eine Reset- 
Schaltungseinheit 130, einen Anwenderschaltkreis ASIC 150 und eine 
Logik PAL 160 auf, die fur den ASIC ais Steuersignalgenerator dient. Die 
Reset-Schaltungseinheit 130 bzw. der Anwenderschaltkreis ASIC 150 und 
die Logik PAL 160 sowie eventuell weitere - nicht gezeigte - Speicher 
werden uber die Leitungen 191 bzw. 129 mit Systemspannung Us+ 
versorgt, welche bei eingeschalteter Frankiereinrichtung von der Haupt- 
platine 9 geliefert wird. In der EP 789 333 A2 wurden bereits die wesent- 
lichen Teile eines postalischen Sicherheitsmoduls PSM erlautert, die die 
Funktionen Abrechnen und Absichern der Postgebuhrendaten realisieren. 

Die Systemspannung Us+ liegt aulierdem uber eine Diode 181 und die 
Leitung 136 am Eingang der Spannungsuberwachungseinheit 12 an. Am 
Ausgang der Spannungsuberwachungseinheit 12 wird eine zweite Be- 
triebsspannung Ub+ geliefert, welche uber die Leitung 1 38 zur Verfugung 
steht. Bei ausgeschalteter Frankiereinrichtung steht nicht die System- 
spannung Us+, sondern nur die Batteriespannung Ub+ zur Verfugung. Die 
am negativen Pol liegende Batteriekontaktklemme 104 ist mit Masse ver- 
bunden. Von der am positiven Pol liegenden Batteriekontaktklemme 103 
wird Batteriespannung uber eine Leitung 193, uber eine zweite Diode 182 
und die Leitung 136 an den Eingang der Spannungsuberwachungseinheit 
geliefert. Alternativ zu den beiden Dioden 181, 182 kann ein handels- 
ublicher Schaltkreis als Spannungsumschalter 1 80 eingesetzt werden. 

Der Ausgang der Spannungsuberwachungseinheit 12 ist uber eine 
Leitung 138 mit einem Eingang fur diese zweite Betriebsspannung Lit* 
des Prozessors 120 verbunden, welcher mindestens auf einen RAM- 
Speicherbereich 122, 124 fuhrt und dort eine nichtfluchtige Speicherung 
solange garantiert, wie die zweite Betriebsspannung Ub+ in der 
erforderlichen Hohe anliegt. Der Prozessor 120 enthalt vorzugsweise 
einen internen RAM 124 und eine Echtzeituhr (RTC) 122. 

Die Spannungsuberwachungseinheit 12 im Sicherheitsmodul weist eine 
rucksetzbare Selbsthaltung auf, die vom Prozessor 120 uber eine Leitung 
164 abgefragt und uber eine Leitung 135 zuruckgesetzt werden kann. Fur 
eine Rucksetzung der Selbsthaltung weist die Spannungsuberwachungs- 
einheit 12 Schaltungsmittel auf. Die Rucksetzung ist erst auslosbar, wenn 
die Batteriespannung uber die vorbestimmte Schwelle angestiegen ist. 



Die Leitungen 135 and 164 sind je mit einem Pin (Pin1 und 2) des 
Prozessors 120 verbunden. Die Leitung 164 iiefert ein Statussignal an 
den Prozessor 120 und die Leitung 135 Iiefert ein Steuersignal an die 
Spannungsuberwachungseinheit 12. 

Die Leitung 136 am Eingang der Spannungsuberwachungseinheit 12 
versorgt zugleich eine Ungestecktsein-Detektionseinheit 13 mit Betriebs- 
oder Batteriespannung. Die Ungestecktsein-Detektionseinheit 13 gibt auf 
der Leitung 139 ein Statussignal an einen Pin 5 des Prozessors 120 ab, 
das eine Aussage uber den Zustand der Schaltung gibt. Vom Prozessor 
120 wird der Zustand der Ungestecktsein-Detektionseinheit 13 uber die 
Leitung 139 abgefragt. Der Prozessor kann mit einem vom Pin 4 des 
Prozessors 120 uber die Leitung 137 abgegebenen Signal die Unge- 
stecktsein-Detektionseinheit 1 3 zurucksetzen. Nach dem Setzen wird eine 
statische Prufung auf Anschlufc durchgefuhrt. Dazu wird uber eine Leitung 
1 92 Massepotential abgefragt, welches am AnschluG P4 des Interfaces 8 
des postalischen Sicherheitsmoduls PSM 100 anliegt und nur abfragbar 
ist, wenn der Sicherheitsmodul 100 ordnungsgemaR gesteckt ist. Bei 
gesteckten Sicherheitsmodul 1 00 wird Massepotential des negativen Pols 
104 der Batterie 134 des postalischen Sicherheitsmoduls PSM 100 auf 
den Anschluli P23 des Interfaces 8 gelegt und ist somit am AnschluG P4 
des Interfaces 8 uber die Leitung 1 92 von der Ungestecktsein-Detektions- 
einheit 1 3 abfragbar. 

An den Pins 6 und 7 des Prozessors 120 liegt eine Leitungsschleife, 
welche uber die Pins Pf'und P2 der Kontaktgruppe 102 des Interfaces 8 
zum Prozessor 1 20 zuruckgeschleift wird. Zur dynamischen Prufung des 
Angeschlossenseins des postalischen Sicherheitsmoduls PSM 100 an der 
Hauptplatine 9 werden vom Prozessor 120 wechselnde Signalpegel in 
ganz unregelmafligen Zeitabstanden an die Pin's 6, 7 angelegt und uber 
die Schleife zuruckgeschleift. 

Das postalische Sicherheitsmodul PSM 100 ist mit einer Long-Live- 
Batterie bestuckt, welches auch eine Uberwachung des Gebrauchs 
ermoglicht, ohne das das Sicherheitsmodul an einer Systemspannung 
eines Postverabeitungseinrichtung liegt. Der sachgemaBe Gebrauch, 
Betrieb, Installation oder Einbau in der geeigneten Umgebung sind solche 



von den Funktionseinheiten des Sicherheitsmoduls zu prufende 
Eigenschaften. Eine Erstinstallation wird vom Hersteller des postalischen 
Sicherheitsmoduls vorgenommen. Es ist also nach dieser Erstinstallation 
zunachst lediglich zu prufen, ob das postalische Sicherheitsmodul von 
ihrem Einsatzfeld (Postverabeitungseinrichtung) getrennt wird, wobei dies 
in der Regel bei einem Austausch erfolgt. 

Die Uberwachung dieses Zustandes wird von der Ungestecktsein- 
Detektionseinheit 13 vorgenommen. Hierbei wird uber die Massever- 
bindung am Pin 4 der Interfaceeinheit 8 ein Spannungspegel uberwacht. 
Beim Austausch der Funktionseinheit wird diese Masseverbindung unter- 
brochen und die Ungestecktsein-Detektionseinheit 13 registriert diesen 
Vorgang als Information. Da fur jede Trennung des Sicherheitsmoduls 
100 von der Interfaceeinheit 8, die Speicherung dieser Information durch 
den speziellen batteriegetriebenen Schaltungsaufbau gewahrleistet ist, 
kann eine Auswertung dieser Information zu jeder Zeit erfolgen, falls eine 
Wiederinbetriebnahme gewunscht ist. Die regelmafcige Auswertung 
dieses Ungestecktsein-Signals auf der Leitung 139 der Ungestecktsein- 
Detektionseinheit 13 ermoglicht es dem Prozessor 120 sensitive Daten zu 
loschen, ohne jedoch damit die Abrechnungs- und Kundendaten in den 
NVRAM-Speichern zu verandern. Der momentane Zustand des postali- 
schen Sicherheitsmoduls mit den geloschten sensitiven Daten kann als 
Wartungszustand aufgefaRt werden, in welchem in der Regel der Aus- 
tausch, eine Reparatur oder sonstiges vorgenommen wird. Da die sensi- 
tiven Daten der Funktionseinheit geloscht sind, ist ein Fehler aufgrund 
einer unsachgemalien Handhabung des postalischen Sicherheitsmoduls 
ausgeschlossen. Die sensitiven Daten sind beispielsweise kryptographi- 
sche Schlussel. Der Prozessor 120 verhindert im Wartungszustand eine 
Kernfunktionalitat des postalischen Sicherheitsmoduls, welche beispiel- 
weise in der Abrechnung und/oder Berechnung eines Sicherheitscodes 
fur die Sicherheitsmarkierung in einem Sicherheitsabdruck besteht. 
Zur Wiederinbetriebnahme wird das postalische Sicherheitsmodul PSM 
zunachst gesteckt und elektrisch mit der entsprechenden Interfaceeinheit 
8 eines Postbearbeitungsgerates verbunden. Anschlieliend wird das 
Gerat eingeschaltet und somit das postalische Sicherheitsmodul wieder 
mit Systemspannung Us+ versorgt. Aufgrund des speziellen Zustandes 
mufi nun der sachgemafle Ei^bau des postalischen Sicherheitsmoduls 
durch ihre Funktionseinheit erneut gepruft werden. Hierfur wird eine 
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zweite Stufe einer Prufung (dynamische Gestecktsein-Detektion) vorge- 
sehen. Uber eine zwischen der ersten Funktionseinheit (Prozessor 120) 
und der Stromschleife 18 der Interfaceeinheit 8 hergestellten operative 
Verbindung werden Informationen ausgetauscht, deren fehlerfreie 
5 Ubermittlung den Beweis fur den sachgemaRen Einbau erbringt. Dies ist 
Voraussetzung fur eine erfolgreiche Wiederinbetriebnahme. 
Fur den Zustandswechsel in den normalen Betriebszustand ist nun noch 
eine Reinitialisierung der sensitiven Daten erforderiich. Zwischen dem 
postalischen Sicherheitsmodul und einer dritten Instanz wird eine 
10 Kommunikation vorgenommen, wobei letztere diese sensitiven Daten 
ubermittelt. Nach erfolgreicher Ubermittlung wird die Ungestecktsein- 
Detektionseinheit 13 zuruckgesetzt und das postalische Sicherheitsmodul 
^ nimmt wieder seinen normalen Betriebszustand ein. Die Wiederinbetrieb- 

nahme ist abgeschlossen. 

15 

Die Figur 2 zeigt ein Blockschaltbild einer Frankiermaschine, die mit 
einer Chipkarten-Schreib/Leseeinheit 70 zum Nachladen von Anderungs- 
daten per Chipkarte und mit einer Druckeinrichtung 2, welche von einer* 
Steuereinrichtung 1 gesteuert wird, ausgestattet ist. Die Steuereinrichtung 
20 1 weist ein mit einem Mikroprozessor 91 mit zugehorigen Speichern 92, 
93, 94, 95 ausgestattetes Motherboard 9 auf. 

Der Programmspeicher 92 enthalt ein Betriebsprogramm mindestens zum 
Drucken und wenigstens sicherheitsrelevante Bestandteile des Pro- 
, 25 gramms fur eine vorbestimmte Format-Anderung eines Teils der 

Nutzdaten. 

Der Arbeitsspeicher RAM 93 dient zur fluchtigen Zwischenspeicherung 
von Zwischenergebnissen. Der nichtfluchtige Speicher NVM 94 dient zur 
nichtfluchtigen Zwischenspeicherung von Daten, beispielsweise von 

30 statistischen Daten, die nach Kostenstellen geordnet sind. Der 
Kalender/Uhrenbaustein 95 enthalt ebenfalls adressierbare aber nicht- 
fluchtige Speicherbereiche zur nichtfluchtigen Zwischenspeicherung von 
Zwischenergebnissen oder auch bekannten Programmteilen (beispiels- 
weise fur den DES-Algorithmus). Es ist vorgesehen, dali die Steuer- 

35 einrichtung 1 mit der Chipkarten-Schreib/Leseeinheit 70 verbunden ist, 
wobei der Mikroprozessor 91 der Steuereinrichtung 1 beispielsweise dazu 
programmiert ist, die Nutzdaten N aus dem Speicherbereich einer 
Chipkarte 49 zu deren Anwendung in entsprechende Speicherbereiche 



der Frankiermaschine zu laden. Eine in einen Einsteckschlitz 72 der 
Chipkarten-Schreib/Leseeinheit 70 eingesteckte erste Chipkarte 49 
gestattet ein Nachladen eines Datensatzes in die Frankiermaschine fur 
mindestens eine Anwendung. Die Chipkarte 49 enthalt beispielsweise die 
Portogebuhren fur alle ublichen Postbefordererleistungen entsprechend 
des Tarifs der Postbehorde und ein Postbefordererkennzeichen, um mit 
der Frankiermaschine ein Stempelbild zugenerieren und entsprechend 
des Tarifs der Postbehorde die Poststucke freizustempeln. 

Die Steuereinrichtung 1 bildet das eigentliche Meter mit den Mitteln 91 bis 
95 der vorgenannten Hauptplatine 9 und umfaftt auch eine Tastatur 88, 
eine Anzeigeeinheit 89 sowie einen anwendungsspezifischen Schaltkreis 
ASIC 90 und das Interface 8 fur das postalische Sicherheitsmodul PSM 
100. Das Sicherheitsmodul PSM 100 ist uber einen Steuerbus mit dem 
vorgenannten ASIC 90 und dem Mikroprozessor 91 sowie uber den 
parallelen uC-Bus mindestens mit den Mitteln 91 bis 95 der Hauptplatine 
9 und der mit Anzeigeeinheit 89 verbunden. Der Steuerbus fuhrt 
Leitungen fur die Signale CE, RD und WR zwischen dem Sicherheits- 
modul PSM 100 und dem vorgenannten ASIC 90. Der Mikroprozessor 91 
weist vorzugsweise einen Pin fur ein vom Sicherheitsmodul PSM 100 
abgegebenes Interruptsignal i, weitere Anschlusse fur die Tastatur 88, 
eine serielle Schnittstelle SI-1 fur den AnschluB der Chipkarten- 
Schreib/Lese-Einheit 70 und eine serielle Schnittstelle SI-2 fur den 
optionalen Anschluli eines MODEMS auf. Mittels des MODEMS kann 
beispielsweise das im nichtfluchtigen Speicher des postalischen 
Sicherheitsmittels PSM 100 gespeicherte Guthaben erhoht werden. 

Das postalische Sicherheitsmittel PSM 100 wird von einem gesicherten 
Gehause umschlossen. Vor jedem Frankierabdruck wird im postalischen 
Sicherheitsmodul PSM 100 eine hardwaremaBige Abrechnung durchge- 
fuhrt. Die Abrechnung erfolgt unabhangig von Kostenstellen. Das postali- 
sche Sicherheitsmittel PSM 100 kann intern so ausgefuhrt sein, wie in der 
europaischen Anmeldung EP 789 333 A3 naher beschrieben wurde. 

Es ist vorgesehen, dali der ASIC 90 eine serielle Schnittstellenschaltung 
98 zu einem im Poststrom vorschalteten Gerat, eine serielle 
Schnittstellenschaltung 96 zu den Sensoren und Aktoren der 
Druckeinrichtung 2, eine serielle Schnittstellenschaltung 97 zur 
Drucksteuerelektronik 16 fur den Druckkopf 4 und eine serielle 



Schnittstellenschaltung 99 zu einem der Druckeinrichtung 20 im 
Poststrom nachgeschalteten GerSt aufweist. Der DE 197 11 997 ist ine 
Ausfuhrungsvariante fur die Peripherieschnittstelle ntnehmbar, welche 
fur mehrere Peripheriegerate (Stationen) geeignet ist. Sie tragt den Titel: 
Anordnung zur Kommunikation zwischen einer Basisstation und weiteren 
Stationen einer Postbearbeitungsmaschine und zu deren Notabschaltung. 

Die Schnittstellenschaltung 96 gekoppelt mit der in der Maschinenbasis 
befindlichen Schnittstellenschaltung 14 stellt mindestens eine Verbindung 
zu den Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise zum 
Antriebsmotor 15 fur die Walze 11 und zu einer Reinigungs- und 
Dichtstation RDS 40 fur den Tintenstrahldruckkopf 4, sowie zum 
Labelgeber 50 in der Maschinenbasis her. Die prinzipielle Anordnung und 
das Zusammenspiel zwischen Tintenstrahldruckkopf 4 und der RDS 40 
sind der DE 197 26 642 C2 entnehmbar, mit dem Titel: Anordnung zur 
Positionierung eines Tintenstrahldruckkopfes und einer Reinigungs- und 
Dichtvorrichtung. 

Einer der in der Fuhrungsplatte 20 angeordneten Sensoren 7, 17 ist der 
Sensor 17 und dient zur Vorbereitung der Druckauslosung beim Briefs 
transport. Der Sensor 7 dient zur Briefanfangserkennung zwecks Druck- 
auslosung beim Brieftransport. Die Transporteinrichtung besteht aus 
einem Transportband 10 und zwei Walzen 11,11 '. Eine der Walzen ist die 
mit einem Motor 15 ausgestattete Antriebswalze 11, eine andere ist die 
mitlaufende Spannwalze 11'. Vorzugsweise ist die Antriebswalze 1 1 als 
Zahnwalze ausgefuhrt, entsprechend ist auch das Transportband 10 als 
Zahnriemen ausgefuhrt, was die eindeutige Kraftubertragung sichert. Ein 
Encoder 5, 6 ist mit einer der Walzen 11, 11' gekoppelt. Vorzugsweise 
sitzt die Antriebswalze 1 1 mit einem Inkrementalgeber 5 fest auf einer 
Achse. Der Inkrementalgeber 5 ist beispielsweise als Schlitzscheibe 
ausgefuhrt, die mit einer Lichtschranke 6 zusammen wirkt, und gibt uber 
die Leitung 19 ein Encodersignal an die Hauptplatine 9 ab. 
Es ist vorgesehen, daB die einzeinen Druckelemente des Druckkopfes 
innerhalb seines Gehauses mit einer Druckkopfelektronik verbunden sind 
und daS der Druckkopf fur einen rein elektronischen Druck ansteuerbar 
ist. Die Drucksteuerung erfolgt auf Basis der Wegsteuerung, wobei der 
gewahlte Stempelversatz berucksichtigt wird, welcher per Tastatur 88 
Oder bei Bedarf per Chipkarte eingegeben und im Speicher NVM 94 
nichtfluchtig gespeichert wird. Ein geplanter Abdruck ergibt sich somit aus 
Stempelversatz (ohne Drucken), dem Frankierdruckbild und gegebenfalls 



weiteren Druckbildern fur Werbeklisch e, Versandinformationen (Wahl- 
daicke) und zusatzlichen editierbaren Mitteilungen. Der nichtfluchtige 
Speicher NVM 94 weist eine Vielzahl an Speicherbereichen auf. Darunter 
sind solche, welche die geladenen Portogebuhrentabellen nichtfluchtig 
speichern. 

Die Chipkarten-Schreib/Leseeinheit 70 besteht aus einem zugehorigen 
mechanischen Trager fur die Mikroprozessorkarte und Kon-taktiereinheit 
74. Letztere gestattet eine sichere mechanische Halterung der Chipkarte 
in Lese-Position und eindeutige Signalisierung des Erreichens der 
Leseposition der Chipkarte in der Kontaktierungseinheit. Die 
Mikroprozessorkarte mit dem Mikroprozessor 75 besitzt eine einpro- 
grammierte Lesefahigkeit fur alie Arten von Speicherkarten bzw. Chip- 
karten. Das Interface zur FM ist eine serielle Schnittstelle gemafi RS232- 
Standard. Die Datenubertragungsrate betragt min. 1,2 K Baud. Das 
Einschalten der Stromversorgung erfolgt mittels einem an der Haupt- 
piatine angeschlossenen Schalter 71. Nach Einschalten der Stromver- 
sorgung erfolgt eine Selbsttestfunktion mit Bereitschaftsmeldung. 

In der Figur 3 ist eine perspektivische Ansicht der Frankiermaschine von. 
hinten dargestellt. Die Frankiermaschine besteht aus einem Meter 1 und 
einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ Leseeinheit 70 
ausgestattet, die hinter der Fuhrungsplatte 20 angeordnet und von der 
Gehauseoberkante 22 zuganglich ist. Nach dem Einschalten der Frankier- 
maschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach 
unten in den Einsteckschlitz 72 eingesteckt. Ein zugefuhrter auf der Kant 
stehender Brief 3, der mit seiner zu bedruckenden Oberflache an der 
Fuhrungsplatte anliegt, wird dann entsprechend der Eingabedaten mit 
einem Frankierstempel 31 bedruckt. Die Briefzufuhroffnung wird durch 
eine Klarsichtplatte 21 und die Fuhrungsplatte 20 seitlich begrenzt. Die 
Statusanzeige des auf die Hauptplatine 9 des Meters 1 gesteckten 
Sicherheitsmoduls 100 ist von auRen durch eine Offnung 109 sichtbar. 

Die Figur 4 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls 
PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134 
ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der 
positive Pol der Batterie 134 ist uber di Leitung 193 mit dem einen 
Eingang des Spannungsumschalters 180 und die Systemspannung 
fuhrende Leitung 191 ist mit dem anderen Eingang des Spannungs- 
umschalters 180 verbunden. Als Batterie 134 eignet sich der Typ SL- 



389/P fQr eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P fur 
eine Lebensdauer bis zu 6 Jahren bei inem maximalen Stromverbrauch 
durch das PSM 100. Als Spannungsumschalt r 180 kann ein 
handelsublicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. 
Der Ausgang des Spannungsumschalters 180 liegt uber die Leitung 136 
an der Batterieuberwachungseinheit 12 und der Detektionseinheit 13 an. 
Die Batterieuberwachungseinheit 12 und die Detektionseinheit 13 stehen 
mit den Pins 1, 2, 4 und 5 des Prozessors 120 uber die Leitungen 135, 
164 und 137, 139 in Kommunikationsverbindung. Der Ausgang des 
Spannungsumschalters 180 iiegt uber die Leitung 136 auSerdem am 
Versorgungseingang eines ersten Speichers SRAM an, der durch die 
vorhandene Batterie 134 zum nichtfluchtigen Speicher NVRAM einer 
ersten Technologie wird. 

Das Sicherheitsmodul steht mit der Frankiermaschine uber den 
Systembus 115,117, 118 in Verbindung. Der Prozessor 120 kann uber 
den Systembus und ein Modem 83 in Kommunikationsverbindung mit 
einer entfernten Datenzentrale eintreten. Die Abrechnung wird vom ASIC 
150 vollzogen und vom Prozessor 120 uberpruft. Die postalischen 
Abrechnungsdaten werden in nichtfluchtigen Speichern unterschiedlicher 
Technologie gespeichert. 

Die Systemspannung liegt am Versorgungseingang eines zweiten 
Speichers NV-RAM 114 an. Bei letzterem handelt es sich urn einen 
nichtfluchtigen Speicher NVRAM einer zweiten Technologie, (SHADOW- 
RAM). Diese zweiten Technologie umfa&t vorzugsweise ein RAM und ein 
EEPROM, wobei letzteres die Dateninhalte bei Systemspannungsausfall 
automatisch ubernimmt. Der NVRAM 114 der zweiten Technologie ist mit 
den entsprechenden Adress- und Dateneingangen des ASIC's 150 uber 
einen internen AdreB- und Datenbus 112, 113 verbunden. 

Der ASIC 150 enthalt mindestens eine Hardware-Abrecheneinheit fur die 
Berechnung der zu speichernden postalischen Daten. In der 
Programmable Array Logic (PAL) 160 ist eine Zugriffslogik auf den ASIC 
150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert. 
Ein AdreB- und Steuerbus 117, 115 von der Hauptplatine 9 ist an 
entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160 
erzeugt mindestens ein Steuersignal fur das ASIC 150 und ein 
Steuersignal 119 fur den Programmspeicher FLASH 128. Der Prozessor 
120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der 
Prozessor 120, FLASH 28, ASIC 150 und PAL 160 sind uber einen 



modulintemen Systembus miteinander verbunden, der Leitungen 
1 1 0, 1 1 1 , 1 26, 1 1 9 fur Daten-, AdreB- und Steuersignale nthalt. 
Der Prozessor 120 des Sicherheitsmoduls 100 ist uber inen modul- 
intemen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150 
verbunden. Der FLASH 128 wird mit Systemspannung Us+ versorgt. Er ist 
beispielsweise ein 128 Kbyte- FLASH-Speicher vom Typ AM29F010- 
45EC. Der ASIC 150 des postalischen Sicherheitsmoduls 100 liefert uber 
einen modulintemen AdreBbus 110 die Adressen 0 bis 7 an die 
entsprechenden AdreBeingange des FLASH 128. Der Prozessor 120 des 
Sicherheitsmoduls 100 liefert uber einen intemen AdreBbus 111 die 
Adressen 8 bis 15 an die entsprechenden Adresseingange des FLASH 
128. Der ASIC 150 des Sicherheitsmoduls 100 steht uber die 
Kontaktgruppe 101 des Interfaces 8 mit dem Datenbus 118, mit dem 
AdreBbus 117 und dem Steuerbus 115 des Motherbords 9 in 
Kommunikationsverbindung. 

Es ist vorgesehen, daB der Prozessor 120 Speicher 122, 124 aufweist, an 
welche uber die Leitung 138 eine Betriebsspannung Ub+ von einer 
Spannungsuberwachungseinheit 12 zugefuhrt wird. Insbesondere eine. 
Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer 
Betriebsspannung uber die Leitung 138 versorgt. Die Spannungsuber- 
wachungseinheit (Battery Observer) 12 liefert auBerdem ein Statussignal 
164 und reagiert auf ein Steuersignal 135. Der Spannungsumschalter 180 
gibt als Ausgangsspannung auf der Leitung 136 fur den Battery Observer 
12 und Speicher 116 diejenige seiner Eingangsspannungen als 
Versorgungsspannung weiter, die groBer als die andere ist. Durch die 
Moglichkeit, die beschriebene Schaltung in Abhangigkeit von der Hohe 
der Spannungen Us+ und Ub+ automatisch mit der grSBeren yon beiden 
zu speisen, kann w§hrend des Normalbetriebs die Batterie 134 ohne 
Datenverlust gewechselt werden. 

Die Batterie 134 des Sicherheitsmoduls 100 speist in den Ruhezeiten 
auBerhalb des Normalbetriebes in vorerwahnter Weise die Echtzeituhr 
(RTC) 122 mit Datums und/oder Uhrzeitregistern und/oder den statischen 
RAM (SRAM) 124, der sicherheitsrelevante Daten halt. Sinkt die Span- 
nung der Batterie wahrend des Batteriebetriebs unter eine bestimmte 
Grenze, so wird von der Spannungsuberwachungseinheit 12 der Speise- 
punkt fur die RTC und SRAM bis zum Rucksetzen mit Masse verbunden. 
Die Spannung an der RTC und am SRAM liegt dann bei 0V. Das fuhrt 
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dazu, daS der SRAM 124, der z.B. wichtige kryptografische Schlussel 
nthalt, sehr schnell gel6scht wird. Gleichzeitig werden auch die Register 
der RTC 122 geloscht und die aktuelle Uhrzeit und das aktuelle Datum 
gehen verloren. Durch diese Aktion wird verhindert, daB ein mdglicher 
Angreifer durch Manipulation der Batteriespannung die frankiermaschi- 
neninteme Uhr 122 anhalt, ohne daS sicherheitsrelevante Daten verloren 
gehen. Somit wird verhindert, da& der Angreifer SicherheitsmaBnahmen, 
wie beispielsweise Long Time Watchdogs umgeht. 

Die RESET-Einheit 130 ist uber die Leitung 131 mit dem Pin 3 des 
Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der 
Prozessor 120 und das ASIC 150 werden bei Absinken der 
Versorgungsspannung durch eine Resetgenerierung in der RESET- 
Einheit 130 zuruckgesetzt. 

Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt 
die bechriebene Schaltung in einen Selbsthaltezustand, in dem sie auch 
bei nachtraglicher ErhShung der Spannung bleibt. Beim nachsten 
Einschalten des Moduls kann der Prozessor den Zustand der Schaltung 
abfragen (Statussignal) und damit und/oder uber die Auswertung der 
Inhalte des geldschten Speichers darauf schlieBen, daB die 
Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten 
hat. Der Prozessor kann die Uberwachungsschaltung zurucksetzen, d.h. 
"scharf machen. 

Die Ungestecktsein-Detektionseinheit 13 hat zur Messung der Eingangs- 
spannung eine Leitung .192, die uber den Stecker des Sicherheitsmoduls 
und Interface 8, vorzugsweise uber einen Sockel auf der Mutterplatine 9 
der Frankiermaschine mit Masse verbunden ist. Diese Messung dient zur 
statischen Oberwachung des Gesteckseins und bildet die Grundlage fur 
eine Oberwachung auf einer ersten Stufe. Es ist vorgesehen, dafi die 
Ungestecktsein-Detektionseinheit 13 Schaltungsmittel fur eine rucksetz- 
bare Selbsthaltung aufweist, wobei die Selbsthaltung ausgelost wird, 
wenn der Spannungspegel auf einer MeBspannungsleitung 192 von 
einem vorbestimmten Potential abweicht. Zugleich umfaBt die Auswerte- 
Logik den mit den anderen Funktionseinheiten verbundenen Prozessor 
120, welcher programmiert ist, den jeweiligen Zustand des Sicherheits- 
moduls 100 festzustellen und zu verandern. Der Zustand der 
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Selbsthaltung ist uber die Leitung 139 vom Prozessor 120 des 
Sicherheitsmoduls 100 abfragbar. Das Me&spannungspotential auf der 
Leitung 192 entspricht Mass potential, wenn der Sicherheitsmodul 100 
ordnungsgemaB gesteckt ist. Auf der Leitung 139 liegt Betriebsspan- 

s nungspotential. Massespannungspotential liegt auf der Leitung 139 an, 
wenn der Sicherheitsmodul 100 ungesteckt ist. Der Prozessor 120 weist 
einen funften Pin5 auf, an welchem die Leitung 139 angeschlossen ist, 
um den Zustand der Ungestecktsein-Detektionseinheit 13 abzufragen, ob 
sie auf Massepotential mit Selbsthaltung geschaltet ist. Um den Zustand 

10 der Selbsthaltung der Ungestecktsein-Detektionseinheit 13 uber die 
Leitung 137 zuruckzusetzen, weist der Prozessor 120 einen vierten Pin 4 
auf. 




Weiterhin ist eine Stromschleife 18 vorgesehen, die die Pins 6 und 7 des 



15 Prozessors 120 ebenfalls uber den Stecker des Sicherheitsmoduls und 
uber den Socket auf der Hauptplatine 9 der Frankiermaschine miteinander 
verbindet. Die Leitungen an den Pins 6 und 7 des Prozessors 120 sind 
nur bei einem an die Hauptplatine 9 gesteckten PSM 100 zu einer 
Stromschleife 18 geschlossen. Diese Schleife bildet die Grundlage fur 

20 eine dynamische Uberwachung des Angestecktseins des Sicherheits- 
moduls auf einer zweiten Stufe. 

Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine 
Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit 




125 auf. Der Prozessor 120 ist mit Pin's 8, 9 zur Ausgabe mindestens 



eines Signals zur Signalisierung des Zustandes des Sicherheitsmoduls 
100 ausgestattet. An den Pins 8 und 9 liegen l/O-Ports der Ein/Ausgabe- 
Einheit 125, an welchen modulinterne Signalmittel angeschlossen sind, 
beispielsweise farbige Lichtemitterdioden LED's 107, 108, welche den 
30 Zustand des Sicherheitsmoduls 100 signalisieren. Die Sicherheitsmodule 
konnen in ihrem Lebenszyklus verschiedene Zustande einnehmen. So 
mud z.B. detektiert werden, ob das Modul gultige kryptografische 
Schlussel enthalt. Weiterhin ist es auch wichtig zu unterscheiden, ob das 
Modul funktioniert oder defekt ist. Die genaue Art und Anzahl der 
35 Modulzust§nde ist von den realisierten Funktionen im Modul und von der 
Implementierung abhangig. 



Anhand der Figur 5 wird das Schaltbild der Detektionseinheit 13 erlautert. 
Es ist vorgesehen, daB die Ung steckts in-D tektionseinheit 13 einen 
Spannungsteiler aufweist, der aus einer Reihenschaltung von Widerstan- 
den 1310, 1312, 1314 besteht und zwischen inem von inem Konden- 
sator 1371 abgreifbaren Versorgungsspannungspotential und einem MeB- 
spannungspotential auf der Leitung 192 gelegt ist. Die Schaltung wird 
Qber die Leitung 136 mit der System- oder Batteriespannung versorgt. Die 
jeweilige Versorgungsspannung von der Leitung 136 gelangt Qber eine 
Diode 1369 auf den Kondensator 1371 der Schaltung. Ausgangsseitig der 
Schaltung liegt ein Negator 1320, 1398. Im Normaizustand ist der Tran- 
sistor 1320 des Negators gesperrt und die Versorgungsspannung wird 
Qber den Widerstand 1398 auf der Leitung 139 wirksam, welche deshalb 
logisch T, d.h. H-Pegel im Normaizustand fuhrt. Ein L-Pegel auf der 
Leitung 139 ist vorteilhaft als Statussignal fur ein Ungestecktsein, weil 
dann in den Pin 5 des Prozessors 120 kein Strom hineinflieBt, was die 
Batterielebensdauer erhoht. Die Diode 1369 sorgt vorzugsweise in Zu- 
sammenhang mit einem Elektrolytkondensator 1371 dafur, daS die dem 
Negator vorgeschaltete Schaltung Qber einen relativ langen Zeitraum (> 2 
s) mit einer Spannung versorgt wird, bei der deren Funktion gew§hrleistet 
ist, obwohl die Spannung auf der Leitung 136 bereits abgeschaltet wurde. 
Der Spannungsteiler 1310, 1312, 1314 weist einen Abgriff 1304 auf, an 
welchem ein Kondensator 1306 und der nichtinvertierende Eingang eines 
Komparators 1300 angeschlossen sind. Der invertierende Eingang des 
Komparators 1300 ist mit einer Referenzspannungsquelle 1302 verbun- 
den. Der Ausgang des Komparators 1300 ist einerseits Qber den Negator 
1324,1398 mit der Leitung 139 und andererseits mit dem Steuereingang 
eines Schaltmittels 1 322 fur die Selbsthaltung verbunden. Das Schaltmit- 
tel 1322 ist zum Widerstand 1310 des Spannungsteilers parallel geschal- 
tet und das Schaltmittel 1316 fur eine Rucksetzung der Selbsthaltung ist 
zwischen dem Abgriff 1304 und Masse geschaltet. Der Abgriff 1304 des 
Spannungsteilers liegt am Verbindungspunkt der Widerstande 1312 und 
1314. Der zwischen dem Abgriff 1304 und Masse geschaltete 
Kondensator 1306 verhindert Schwingungen. Die Spannung am Abgriff 
1304 des Spannungsteilers wird im Komparator 1300 mit der R ferenz- 
spannung der Quelle 1302 verglichen. Ist die zu vergleichende Spannung 
am Abgriff 1304 kleiner als die Referenzspannung der Quelle 1302, so 
bleibt der Komparatorausgang auf L-Pegel geschaltet und der Transistor 
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1320 des Negators ist g sperrt. Dadurch erhalt die Leitung 139 nun 
Betriebsspannungspotential und das Statussignal fuhrt logisch '1'. Der 
Spannungsteiler ist so dimensioniert, daS bei Massepotential auf der 
Leitung 192 der Abgriff 1304 eine Spannung fuhrt, welche sicher unter- 

5 halb der Schaltschwelle des Komparators 1300 liegt. Wird die Verbindung 
unterbrochen und die Leitung 192 ist nicht mehr mit Masse verbunden, 
weil das Sicherheitsmodul 100 vom Sockel auf der Hauptplatine 9 bzw. 
Interfaceeinheit 8 der Frankiermaschine gelost wurde, so wird die 
Spannung am Abgriff 1 304 uber die Spannung der Referenzspannungs- 

10 quelle 1302 gezogen und der Komparator 1300 schaltet urn. Der Kom- 
paratorausgang wird auf H-Pegel geschaltet und folglich ist der Transistor 
1320 durchgeschaltet. Dadurch wird die Leitung 139 mit Massepotential 
verbunden und das Statussignal fuhrt logisch '0. 

Mit Hilfe eines Transistors 1322, welcher dem Widerstand 1310 des 

is Spannungsteilers parallelgeschaltet ist, wird eine Selbsthalteschaltung 
der Ungestecktsein-Detektionseinheit 13 realisiert Der Steuereingang 
des Transistors 1322 wird vom Komparatorausgang auf H-Pegel 
geschaltet. Dadurch schaltet der Transistor 1322 durch und uberbruckt 
den Widerstand 1310. Infolgedessen wird der Spannungsteiler nur noch 

20 durch die Widerstande 1312 und 1314 gebildet. Dadurch wird die 
Umschaltschwelle so weit erhoht, daS der Komparator auch im 
geschalteten Zustand bleibt, wenn die Leitung 192 wieder Massepotential 
fuhrt, weil das Sicherheitsmodul wieder gesteckt wurde. 
Der Zustand der Schaltung kann uber das Signal auf der Leitung 139 vom 

25 Prozessor 1 20 abgefragt werden. 

Es ist vorgesehen, daB die Ungestecktsein-Detektionseinheit 13 als 
Schaltungsmittel eine Leitung 137 und ein Schaltmittel 1316 fur eine 
Rucksetzung der Selbsthaltung aufweist, wobei die Rucksetzung vom 
Prozessor 120 uber ein Signal auf der Leitung 137 auslosbar ist. 

30 Der Prozessor 120 kann jederzeit uber einen Anwenderschaltkreis ASIC 
150, uber eine erste Kontaktgruppe 101, uber einen Systembus der 
Steuereinrichtung 1 und beispielsweise uber den Mikroprozessor 91 per 
Modem 83 den Kontakt zu einer entfernten Datenzentrale aufnehmen, 
welche die Abrechnungsdaten uberpruft und gegebenenfalls weitere 

35 Daten an den Prozessor 120 ubermittelt. Der Anwenderschaltkreis ASIC 
150 des Sicherheitsmoduls 100 ist mit dem Prozessor 120 uber einen 
modulinternen Datenbus 126 verbunden. 
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Der Prozessor 120 kann die Ungestecktsein-Detektionseinheit 
zurucksetzen, wenn mittels der Qbermittelten Daten ine Reinitialisation 
erfolgr ich abgeschlossen werden konnt . Dazu wird Ober das 
Rucksetzsignal auf der Leitung 137 der Transistor 1316 durchgeschaltet 
und somit die Spannung am Abgriff 1 304 unter die Referenzspannung der 
Quelle 1302 gezogen und die Transistoren 1320 und 1322 sperren. 1st 
der Transistor 1322 im Normalzustand gesperrt, so bilden die 
WiderstSnde 1310 und 1312 in Serie den oberen Teil des oben 
genannten Spannungsteilers und die Umschaltschwelle wird wieder auf 
den Ursprungszustand abgesenkt. 

Die Figur 6 zeigt zeigt den mechanischen Aufbau des Sicherheitsmoduls 
in Seitenansicht. Das Sicherheitsmodul ist als Multi-Chip-Modul ausge- 
bildet, d.h. mehrere Funktionseinheiten sind auf einer Leiterplatte 106 
verschaltet. Das Sicherheitsmodul 100 ist mit einer harten VerguBmasse 
105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100 
auBerhalb der VerguBmasse 105 auf einer Leiterplatte 106 
auswechselbar angeordnet ist. Beispielsweise ist es so mit einem 
VerguBmaterial 105 vergossen, daB Signalmittel 107, 108 aus dem 
VerguBmaterial an einer ersten Stelle herausragen und daB die 
Leiterplatte 106 mit der gesteckten Batterie 134 seitlich einer zweiten 
Stelle herausragt. Die Leiterplatte 106 hat auBerdem Batteriekontakt- 
klemmen 103 und 104 fur den AnschluB der Pole der Batterie 134, 
vorzugsweise auf der Bestuckungsseite oberhalb der Leiterplatte 106. Es 
ist vorgesehen, daB zum Anstecken des postalischen Sicherheitsmoduls 
PSM 100 auf die Hauptplatine des Meters 1 die Kontaktgruppen 101 und 
102 unterhalb der Leiterplatte 106 (Leiterbahnseite) des Sicherheits- 
moduls 100 angeordnet sind. Der Anwenderschaltkreis ASIC 150 steht 
uber die erste Kontaktgruppe 101 - in nicht gezeigter Weise - mit dem 
Systembus einer Steuereinrichtung 1 in Kommunikationsverbindung und 
die zweite Kontaktgruppe 102 dient der Versorgung des Sicherheits- 
moduls 100 mit der Systemspannung. Wird das Sicherheitsmodul auf die 
Hauptplatine gesteckt, dann ist es vorzugsweise innerhalb des Meter- 
gehauses dergestalt angeordnet, so daB das Signalmittel 107, 108 nahe 
einer Offnung 109 ist oder in diese hineinragt. Das Metergehause ist 
damit vorteilhaft so konstruiert, daB der Benutzer die Statusanzeige des 
Sicherheitsmoduls trotzdem von auBen sehen kann. Die beiden Leucht- 
dioden 107 und 108 des Signalmittels werden uber zwei Ausgangssignale 
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der l/O-Ports an den Pin 8, 9 d s Prozessors 120 gesteuert. Beide 
Leuchtdioden sind in einem gemeinsamen Bauelementegehause unter- 
gebracht (Bicolorleuchtdiode), weshalb die Abmade bzw. der Durchmes- 
ser der Offnung relativ klein bleiben kann und in der GroBenordnung des 
5 Signalmittels liegt. Prinzipiell sind drei unterschiedliche Farben darstellbar 
(rot, grun, orange), von denen aber nur zwei benutzt werden (rot und 
grun). Zur Zustandsunterscheidung werden die LED's auch blinkend 
benutzt, so da(J 5 verschiedene Zustandsgruppen unterschieden werden 
konnen, die durch folgende LED-Zustande charakterisiert werden: LED 
10 aus, LED rot blinkend, LED rot, LED grun blinkend, LED grun. 

In der Figur 7 ist eine Draufsicht auf das postalische Sicherheitsmodul 
dargestellt. 

" ' * 15 Die Figuren 8a bzw. 8b zeigen eine Ansicht des Sicherheitsmoduls jeweils 

von rechts bzw. von links. Die Lage der Kontaktgruppen 101 und 102 
unterhalb der Leiterplatte 106 wird aus den Figuren 8a und 8b in 
Verbindung mit Figur 6 deutlich. 

20 ErfindungsgemaB ist das postalische Gerat, insbesondere eine Frankier- 
maschine, jedoch kann das Sicherheitsmodul auch eine andere Bauform 
aufweisen, die es ermoglicht, daB es beispielsweise auf das Motherbord 
eines Personalcomputers gesteckt werden kann, der als PC-Frankierer 
einen handelsublichen Drucker ansteuert. 

25 

■ Die Erfindung ist nicht auf die vorliegenden Ausfuhrungsform beschrankt, 

«Hly da offensichtlich weitere andere Anordnungen bzw. Ausfuhrungen der 

Erfindung entwickelt bzw. eingesetzt werden konnen, die - vom gleichen 
Grundgedanken der Erfindung ausgehend - von den anliegenden 
30 Anspruchen umfaflt werden. 
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Zusamm nfassung 

Di Erfindung betriffl in Verfahren zum Schutz eines Sicherheitsmoduls 
mit Schritten zur Oberwachung des sachgema&en Einsatzes mittels iner 

5 ersten, zweiten und dritten Funktionseinheit, Loschen von sensitiven 
Daten aufgrund eines unsachgema&en Gebrauchs oder Austausches 
mindestens mittels der zweiten Funktionseinheit, Sperren der 
FunktionalitSt mittels der dritten Funktionseinheit wahrend eines 
Austausches des Sicherheitsmoduls, Reinitialisieren der zuvor geloschten 

10 sensitiven Daten nach sachgemaUem Gebrauch oder Austausch des 
Sicherheitsmoduls und Wiederinbetriebnahme durch Freischalten der 
Funktionseinheiten des Sicherheitsmodules. Die Anordnung zur 
™ Durchfuhrung des Verfahrens hat eine Ungestecktsein-Detektionseinheit 

(13), die Schaltungsmittel (1310, 1316, 1322, 1324) fur eine rucksetzbare 

is Selbsthaltung aufweist, wobei die Selbsthaltung ausgeldst wird, wenn der 
Spannungspegel auf einer MeBspannungsleitung (192) von einem 
vorbestimmten Potential abweicht. Eine Logik umfaBt einen mit den 
anderen Funktionseinheiten verbundenen Prozessor (120), welcher 
programmiert ist, den jeweiligen Zustand des Sicherheitsmoduls (100) 

20 festzustellen und zu verandern. 
Fia. 1 
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Ansoruche 



1. Verfahren zum Schutz ines Sicherheitsmoduls, mit den folgenden 
Schritten: 

• Uberwachung des sachgemaBen Einsatzes mittels einer ersten, 
zweiten und dritten Funktionseinheit, 

• Loschen von sensitiven Daten aufgrund eines unsachgemalien 
Gebrauchs oder Austausches mindestens mittels der zweiten 
Funktionseinheit, 

• Sperren der Funktionalitat mittels der dritten Funktionseinheit wahrend 
eines Austausches des Sicherheitsmoduls, 

• Reinitialisieren mittels der ersten Funktionseinheit von zuvor 
geloschten sensitiven Daten nach sachgemalSem Gebrauch oder 
Austausch des Sicherheitsmoduls, 

• Wiederinbetriebnahme durch Freischalten der Funktionseinheiten des 
Sicherheitsmodules. 



2. Verfahren, nach Anspruch l.gekennzeichnet dadurch, 
daB das Reinitialisieren in Verbindung mit einer Kommunikation mittels 
einer entfernten Datenzentrale von der ersten Funktionseinheit vorgenom- 
men wird, nachdem eine dynamische Gestecktsein-Detektion erfolgreich 
durchgefuhrt wurde, wobei wahrend der Detektion von der ersten Funk- 
tionseinheit uber eine Stromschleife (18) der Interfaceeinheit (8) Informa- 
tionen ausgetauscht werden, deren fehlerfreie Ubermittlung den Beweis 
fur den sachgema&en Einbau erbringt und da(5 das Freischalten von 
Funktionseinheiten (12, 13) des Sicherheitsmodules durch deren Ruck- 
setzen erfolgt, wobei die erste Funktionseinheit ein Prozessor (120), die 
zweite Funktionseinheit eine Spannungsuberwachungseinheit (12) mit 
rucksetzbarer Selbsthaltung und die dritte Funktionseinheit eine Unge- 
stecktsein-Detektionsschaltung (13) mit rucksetzbarer Selbsthaltung ist. 
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3. Anordnung zur Durchfuhrung d s Verfahrens nach Anspruch 1 , wobei 
in Sicherheitsmodul, mit iner Logik (120, 150, 160) und Sensoren (13), 

mit einer Batterie (134) und Mitteln zur Versorgung mit einer 
Systemspannung und mit einem Spannungumschalter (1 80) ausgestattet 
ist, der uber eine Leitung (136) mit einer Spannungsuberwachungseinheit 
(12) verbunden ist, welche uber eine Leitung (138) eine Betriebs- 
spannung an einen Speicher (122, 124) abgibt, gekennzeichnet 
d a d u r c h, dad eine Ungestecktsein-Detektionseinheit (13) 
Schaltungsmittel (1310, 1316, 1322, 1324) fur eine rucksetzbare 
Selbsthaltung aufweist, wobei die Selbsthaltung ausgelSst wird, wenn der 
Spannungspegel auf einer MeBspannungsleitung (192) von einem 
vorbestimmten Potential abweicht und daS die Logik einen mit den 
anderen Funktionseinheiten verbundenen Prozessor (120) umfaBt, 
welcher programmiert ist, den jeweiligen Zustand des Sicherheitsmoduls 
(100) festzustellen und zu verandem. 

4. Anordnung, nach Anspruch 3, gekennzeichnet dadurch, 
daU die Ungestecktsein-Detektionseinheit (13) als Schaltungsmittel eine 
Leitung (137) und ein Schaltmittel (1316) fur eine Rucksetzung der 
Selbsthaltung aufweist, wobei die Rucksetzung vom Prozessor (120) uber 
ein Signal auf der Leitung (137) ausldsbar ist. 

5. Anordnung, nach den Anspruchen 3 bis 4, gekennzeich- 
net dadurch, daB die Ungestecktsein-Detektionseinheit (13) einen 
Spannungsteiler aufweist, der aus einer Reihenschaltung von 
Widerstanden (1310, 1312, 1314) besteht und zwischen einem von einem 
Kondensator (1371) abgreifbaren Versorgungsspannungspotential und 
einem MeSspannungspotential auf der Leitung (192) gelegt ist, wobei die 
Versorgungsspannung von der Leitung (136) uber eine Diode (1369) auf 
den Kondensator (1371) gelangt, daB der Spannungsteiler (1310, 1312, 
1314) einen Abgriff (1304) aufweist, an welchem ein Kondensator (1306) 
und der nichtinvertierende Eingang eines Komparators (1300) ange- 
schlossen sind, daB der invertierende Eingang des Komparators (1300) 
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mit einer Referenzspannungsquelle (1302) verbunden ist, daS der 
Ausgang des Komparators (1300) einerseits uber einen Negator 
(1324,1398) mit einer Leitung (139) und andererseits mit dem 
Steuereingang eines Schaltmittels (1322) fur die Selbsthaltung verbunden 
ist, wobei das Schaltmittel (1322) zum Widerstand (1310) des 
Spannungsteilers parallel geschaltet ist und da& das Schaltmittel (1316) 
fur eine Rucksetzung der Selbsthaltung zwischen dem Abgriff (1304) und 
Masse geschaltet ist. 

6. Anordnung, nach Anspruch 5, gekennzeichnet dadurch, 
daG der Zustand der Selbsthaltung uber die Leitung (139) vom Prozessor 
(120) des Sicherheitsmoduls (100) abfragbar ist. 

7. Anordnung, nach Anspruch 6, gekennzeichnet dadurch, 
daB Meftspannungspotential auf der Leitung (192) Massepotential und 
das Spannungspotential auf der Leitung (139) Betriebsspannungs- 
potential entspricht, wenn der Sicherheitsmodul (100) ordnungsgemaG 
gesteckt ist und daB anderenfalls auf der Leitung (139) Massepotential 
anliegt, wenn der Sicherheitsmodul (100) ungesteckt ist. 

8. Anordnung, nach den Anspruchen 3 bis 7, gekennzeich- 
net dadurch, daS der Prozessor (120) Speicher (122, 124) auf- 
weist, an welche uber die Leitung (138) eine Betriebsspannung Ub+ von 
einer Spannungsuberwachungseinheit (12) gefuhrt wird, daR der Prozes- 
sor (120) mit Systemspannung Us+ versorgt wird und einen vierten 
AnschluB (Pin 4) aufweist, urn den Zustand der Selbsthaltung der 
Ungestecktsein-Detektionseinheit (13) uber die Leitung (137) zuruckzu- 
setzen und einen funften AnschluS (Pin 5) aufweist, an welchem die 
Leitung (139) angeschlossen ist, urn den Zustand der Ungestecktsein- 
Detektionseinheit (13) abzufragen. 
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9. Anordnung, nach Anspruch 8, g kennzeichnet dadurch, 
daB das Sicherheitsmodul (100) inen Anwenderschaltkreis ASIC (150) 
aufweist und daB der Prozessor (120) Qb r einen modulintemen 
Datenbus (126) mit dem Anwenderschaltkreis ASIC (150) verbunden ist, 
wobei letzterer uber eine erste Kontaktgruppe (101) mit dem Systembus 
einer Steuereinrichtung (1) in Kommunikationsverbindung steht. 

10. Anordnung, nach einem der Anspruche 3 bis 9, gekennzeich- 
net dadurch, daB das Sicherheitsmodul (100) mit einer harten 
VerguBmasse (105) vergossen ist, daB die Batterie (134) des 
Sicherheitsmoduls (100) auBerhalb der VerguBmasse (105) auf einer 
Leiterplatte (106) auswechselbar angeordnet ist, daB die Leiterplatte 
(106) die Batteriekontaktklemmen (103 und 104) fur den AnschluB der 
Pole der Batterie (134) und eine zweite Kontaktgruppe (102) zur 
Versorgung des Sicherheitsmoduls (100) mit der Systemspannung 
aufweist und daB mindestens eine der Kontaktgruppen (101, 102) zur 
statischen und dynamischen Uberwachung des Angestecktseins des 
Sicherheitsmoduls (100) ausgebildet ist. 

1 1 . Anordnung, nach Anspruch 10, gekennzeichnet da- 
durch, daB der Prozessor (120) Anschlusse (Pin's 6, 7) zur 
dynamischen Oberwachung des Angestecktseins des Sicherheitsmoduls 
aufweist, an welcher Leitungen angeschlossen sind, welche zu einer 
Stromschleife (18) verbunden sind, wenn das Sicherheitsmodul (100) 
gesteckt ist. 

1 2. Anordnung, nach einem der Anspruche 3 bis 11, gekennzeich- 
net dadurch, daB der Prozessor (120) des Sicherheitsmoduls (100) 
mit Anschlussen (Pin's 8, 9) zur Ausgabe mindestens eines Signals zur 



Signalisierung des Zustandes des Sicherheitsmoduls (100) ausgestattet 
ist. 

13. Anordnung, nach Anspruch 12, gekennzeichnet da- 
d u r c h, daB an den l/O-Ports einer Ein/Ausgabe-Einheit (125) des 
Prozessors (120) modulinterne Signalmittel (107,108) angeschlossen 
sind. 
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